Я работаю ведущим специалистом у оператора трубопроводов, где операционные технологии (OT) являются основой бизнеса. Я не подчиняюсь совету директоров и не являюсь CISO, но вопросы, которые выносятся на эти уровни, влияют на мою работу каждый день.
После инцидента с вымогательством в Colonial Pipeline в 2021 году стало очевидно, что в нашей отрасли начали звучать различные вариации вопроса: «Мы уже внедрили нулевое доверие?» Я постоянно ощущаю его острую значимость через запросы на аудит, директивы TSA по безопасности и обсуждения целей некоторых проектов по внедрению контролей.
Один из аспектов, который изменился с появлением роли, связанной с нулевым доверием, заключается в том, что эта концепция часто кажется несогласованной с сильно зависящими от OT средами. Модель Архитектуры нулевого доверия (SP 800‑207) NIST подходит всем, но изначально написана так, будто предназначена для IT-сети, а не для терминалов, компрессорных станций и диспетчерских, где оборудование должно работать круглосуточно, и оно может быть более устаревшим, чем технологии, присутствующие в организации. Руководство CISA по адаптации принципов нулевого доверия к операционным технологиям помогает устранить этот разрыв, но его применение требует одновременного удовлетворения требований OT-команд и руководства компании.
Вопрос о нулевом доверии, который я слышу за кулисами
Я почти уверен, что мы все знаем: это приходит как удар реальности после того, как произошло что-то действительно крупное, а не как пункт в презентации. У вас есть трубопровод. Все распределение останавливается на шесть дней. В Вашингтоне, округ Колумбия, проходят слушания в Конгрессе, и готовится законодательство. Директива TSA 2021-02C требует от операторов трубопроводов подтвердить ряд вещей, таких как сегментация сети и архитектуры нулевого доверия.
NERC CIP-013 существует в схожем ключе, больше касаясь безопасности цепочки поставок. В нашем случае решение о том, как выбрать и управлять партнером-поставщиком и контролировать их удаленный доступ, продиктовано нормативными требованиями и системами управления. Таким образом, происходят все эти внешние события, которые вынуждают к изменениям. Они спрашивают: «Вы используете нулевое доверие? Да или нет?» Мы всегда отвечаем «да». Они знают, что это не «да», и поставщики знают, что это не «да», и ничего не делается до тех пор, пока что-то не случится.
Как я переосмысливаю нулевое доверие для OT в своей работе
Мое влияние заключается в том, как я формулирую проблемы и варианты в беседах, в которые меня приглашают. Нулевое доверие — хороший пример.
SP 800‑207 NIST описывает нулевое доверие как модель, где решения о доступе должны основываться на надежной идентификации, политике и контексте, а не на сети. Руководство CISA по OT сужает это понятие, советуя операторам обращать внимание на внешний вид устройств, управление идентификацией и то, что пересекается с IT, вместо полного замещения. Статья «Почему нулевое доверие дает сбой в средах IoT и OT» подчеркивает, что при столкновении со сложностями сред IoT и OT необходимо действовать проактивно.
Во время этих бесед я стараюсь сосредоточиться на трех основных моментах, когда говорю об IoT.
- Ссылаться на нулевое доверие как на его принцип функционирования. По моему опыту, команды лучше реагируют, когда я говорю: «Каждый пользователь и система должны доказать, кто они и зачем им нужен доступ», чем когда я говорю об абстрактных архитектурах. Эта формулировка соответствует тому, на чем настаивают NIST и CISA, не перегружая людей жаргоном.
- Сосредоточиться на точках схождения IT и OT, таких как промежуточные хосты (jump hosts), подключения к историческим данным (historian connections), пути удаленного доступа и общие хранилища идентификаторов, охватывающие оба мира. Это узкие места, где такие контроли в стиле нулевого доверия, как усиленная аутентификация, принцип наименьших привилегий и подробное логирование, могут дать нам быстрые результаты без нарушения операций, зависящих от предсказуемого поведения.
- Увязать все, что нам нужно сделать, с существующими требованиями. Разговор смещается с вопроса «почему мы это меняем?» на «как нам сделать это хорошо?», что соответствует Директиве TSA по безопасности Pipeline‑2021‑02C, оповещению CISA или требованию NERC CIP‑013.
90-дневный план, который могут выполнить руководители OT
Пока кто-то управляет газопроводом, он не может экспериментировать с нулевым доверием. Часто возникают вопросы вроде: «Что мы можем сделать до следующей проверки TSA в следующем квартале?» или «Как мы можем показать внутренней аудиторской группе, что добились прогресса в этом месяце?» Мы разработали список действий, которые выполняем в рамках 90-дневного плана, потому что считаем, что он больше соответствует нашим промышленным условиям, а также применим к другим OT-средам.
Дни 1–30: Картирование активов и идентификаторов на границе IT/OT
Первые 30 дней посвящены повышению осведомленности. Я фокусируюсь на относительно простом вопросе: «Кто и что может в настоящее время достигать OT, намеренно или случайно?»
Руководство CISA по нулевому доверию для OT, наряду с другими предупреждениями, призывает выявлять и управлять активами и коммуникациями там, где существуют интерфейсы IT и OT, а также неформальные маршруты удаленного доступа. Кроме того, TSA требует от операторов трубопроводов регулярно обновлять и управлять планами, детализирующими, какие сети, системы и точки доступа они будут оценивать в соответствии с установленными требованиями как в IT, так и в OT.
На моей позиции это сводится к трем действиям. Во-первых, я работаю с OT-инженерами, сетевым персоналом и системами инвентаризации активов, чтобы определить, какие OT-активы угрожают операциям, безопасности или соблюдению нормативных требований в случае компрометации, вместо инвентаризации каждого устройства. Во-вторых, я составляю карту пользователей и связей, которые проникают в OT, таких как внутренние сотрудники с расширенными привилегиями, удаленная поддержка поставщиков, VPN и облачные платформы, взаимодействующие с производственными данными. В-третьих, я категоризирую эти идентификаторы и соединения на основе риска, воздействия и подверженности, а не по их ролям.
К концу первых 30 дней цель состоит в том, чтобы представить руководству легко воспринимаемую общую картину: обозначить критически важные OT-активы, очертить точки входа как из внутренних IT-систем, так и из внешних источников, а также определить связанные с ними идентификаторы. Установив это общее понимание, последующие обсуждения о нулевом доверии станут менее расплывчатыми.
Дни 31–60: Ограничение удаленного доступа поставщиков и достижение быстрых побед
В следующем месяце ищите быстрые победы в области с высоким воздействием, но не нарушающей работу. Удаленный доступ поставщиков или третьих сторон часто соответствует этому требованию, о чем CISA предупреждала и продолжает предупреждать.
Их руководство подчеркивает лучшие практики, включая использование MFA, сегментированные привилегии пользователей и независимый мониторинг действий третьих сторон. NERC CIP-013 требует от коммунальных предприятий учитывать угрозы кибербезопасности и управление рисками для защиты своих цепочек поставок и поставщиков, подключающихся к критически важным системам. Директивы TSA для трубопроводов предусматривают строгий мониторинг и контроль удаленного доступа. В моем случае быстрые победы выглядят так: мы говорим поставщику: «Хорошо, вместо незащищенного метода удаленного доступа используйте проверенное решение для удаленного доступа через брокер. MFA для всех удаленных OT-сессий. Закройте старые RDP-соединения поставщиков, которые не используются». Вы просто говорите, что времена изменились, и поскольку эти методы были внедрены несколько лет назад, они устарели; разумно, чтобы вы тоже изменились.
Дни 61–90: Создание простой оценочной карты зрелости и повествования
Третий месяц посвящен наглядности и повторяемому прогрессу. Теперь у нас будет больше ясности в отношении активов и идентификаторов, пересекающих границу IT/OT, и мы ограничили наиболее опасные пути удаленного доступа. Теперь мы уделим время отслеживанию того, чего мы достигли с течением времени.
Я проконсультируюсь с руководителями отделов безопасности и OT, чтобы определить подходящий набор метрик, актуальных для конкретного контекста организации. Хотя конкретная терминология может различаться, многие из них будут соответствовать общепринятому языку, используемому в документах TSA, NERC, CISA и других отраслевых документах. Рассмотрите общие темы: «управление (govern), защита (protect) и обнаружение и реагирование (detect & respond)».
Затем мы сможем определить надежные возможности «сейчас» и «лучше в следующем квартале» в рамках каждой из этих тем. «Управление» может включать конкретные политики OT в отношении управления идентификацией и доступом, которые включают директивы нулевого доверия наряду с существующими авторитетными структурами. «Защита» может отслеживать, какая доля ваших критически важных OT-активов была защищена с помощью улучшенных практик сегментации, в сочетании с процентом ваших путей удаленного доступа к OT, определенных как высокорисковые, которые имеют как MFA, так и брокерское соединение. «Обнаружение и реагирование» может включать протестированные сценарии действий на случай компрометации удаленного соединения, которое напрямую внедряет вредоносное ПО в OT-систему, что соответствует тому, как развивались недавние инциденты в коммунальных предприятиях Северной Америки.
Результатом будет не оценочная карта для распространения, а содержательный, честный разговор для нашего руководства. Вы будете знать, как точно сформулировать, как ваша организация применяет нулевое доверие в мире OT сегодня, покажете, чего вы достигли за последние три месяца, и честно опишете, где предстоит еще много работы.
Я не единственный, кто пытается заставить идеи нулевого доверия реально соответствовать OT, и я обращаю внимание на CISO, которые высказывают те же опасения по поводу сред IoT и OT. Мы решаем одну и ту же проблему с разных позиций. Что я обнаружил, так это то, что рабочий 90-дневный план, обновляемый ежемесячно, лучше любого обещания «Давайте вместе достигнем нулевого доверия»
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Vilas Shewale
